4 sep. 2016

OSForensics: volcar memoria RAM en Windows

Cuando se procede a la recolección de evidencias se hace necesario conocer y seguir una serie de buenas prácticas. Para ello, se dispone de una guía, muy cortita pero muy importante. Se trata de la RFC 3227, que lleva por título "Guidelines for Evidence Collection and Archiving", (Directrices para la recolección y archivo de la Evidencia). 

En el punto 2 - "Guiding Principles during Evidence Collection", (Principios rectores durante la recolección de evidencia), en su párrafo 11 dice "Proceder desde lo más volátil a la menos volátil".

Para cumplir esa 'norma', en su punto 2.1 se establece un orden de volatilidad, donde figura la memoria.

En el punto 3.2 - "Collection Steps", (Pasos de recolección), en su último párrafo, dice "Cuando sea factible, deberías considerar la generación de checksums y firmar criptográficamente las pruebas recogidas, ya que esto, podría hacer que sea más fácil preservar una fuerte cadena de custodia".

¿Por qué hago referencia a estos puntos? Porque, cuando se recogen evidencias, se hace necesario calcular su huella digital (hash). Y si se realiza esta operación con la misma herramienta con la que se ha recogido la evidencia, mejor que mejor. Aquí es donde entra en juego OSForensics.

Existen decenas de utilidades para realizar el volcado de la memoria, (ya habló el compañero Naxhack5 en su entrada "Análisis Forense II - Adquisición de memoria RAM" de algunas de ellas), y existen algunas más para el cálculo de la firma digital. Una ventaja que tiene OSForensics es que realiza ambas.

OSForensics, de PassMark, es una completa suite para el análisis informático forense. Ofrece múltiples funciones y varias herramientas forenses libres, tales como: OSFMount, OSFClone, ImageUSB, etc. Ofrece también la posibilidad de integrarlo con otras herramientas, como Volatility o RegRipper y WinPE. Los manuales y las FAQ han sido hechas para leerse.
¿Cuánto cuesta OSForensics? Si bien es un producto comercial dispone de una versión gratuita con limitaciones.

Contenido completo en fuente original Fwhibbit por Marcos

1 comentario:

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!